Bedenker w@chtw00rd-adviezen heeft spijt

De opsteller van de 8 pagina's tellende richtlijn NIST Special Publication 800-63. Appendix A, heeft inmiddels spijt van zijn adviezen. Ze zijn door veel Amerikaanse overheidsdienst en onafhankelijke sites breed omarmd, maar hebben achteraf bezien de hackers waarschijnlijk meer geholpen dan in de weg gezeten. Dat concludeert de de inmiddels 72-jarige Burr nu zelf in een interview in de Wallstreet Journal.

De door Burr aanbevolen trucs – zoals het vervangen van letters door er op gelijkende cijfers of bijzondere tekens – werden voor hackers opgepikt als de eerste 'dingetjes' om uit te proberen in hun brute force aanvallen, die daarmee meteen al iets minder bruut lijken te worden. 

Maar de adviezen pakten ook op andere manieren verkeerd uit. Zo resulteert het gedwongen gebruik van speciale tekens, cijfers en of hoofdletters in feite in een vermindering van het aantal mogelijkheden wat de brute force hacker te doorlopen heeft. 

Ook het advies om wachtwoorden regelmatig te veranderen, pakt in de praktijk verkeerd uit als beheerders gebruikers er toe gaan dwingen. Het moeten veranderen komt immers altijd ongelegen, waardoor de gebruiker geneigd zal zijn om voor een minimale verandering te kiezen.